在本节中,我将以一个比较简单的Downloader(下载者)程序为例,以纯汇编的角度来对该恶意样本进行分析。
在上一小节,我们已经通过纯静态分析的方式分析了一个Downloader的恶意样本。在这一节,我们通过第二个Downloader对静态分析进行一些巩固。分析的样本hash:0b244c84e6f86a6c403b9fb5e98df8cb。
在本节中,主要介绍一下我平时分析样本的来源,以及分析样本时候常用的一些行为检查工具,通过行为分析,可以让我们很快的了解样本的大概功能。然后介绍如何通过在本地捕获到的一些行为,去挖掘和寻找与样本相关的情报。
经过了前面几节的静态分析,相信大家已经对静态分析已经有了比较深刻的理解。
在这一小节,我们将会遇到一个 比较”奇怪”的样本,大部分的分析工作都需要在调试器中完成,此时,如果能够比较熟练的阅读汇编代码,将会大大的提升分析的速度。
在本节中,笔者将详细介绍关于office宏类的非PE样本的分析方法。
在上一小节,我们分析了两个简单的office宏样本,也算是对非PE的攻击样本有了一个大概的了解,在本小节中,我们将分析一个Gorgon组织的样本,该样本通过VBA、powershell、VBS等方式进行组合攻击。算是目前非PE攻击中玩的比较溜的。